Wyzwania informatyki bankowej 2016
wyzwania_informatyki_bankowej_0
wyzwania_informatyki_bankowej_0
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Ransomware czyli różne oblicza szantażu<br />
Ransomware to złośliwe oprogramowanie, którego celem jest wymuszenie<br />
opłaty od użytkownika zainfekowanego systemu. Zazwyczaj, aby zapewnić<br />
sobie wpływy z tego typu działalności, trojan szyfruje pliki lub dyski zainfekowanego<br />
systemu. W ten sposób użytkownik ma do wyboru: albo dokonać<br />
reinstalacji systemu i odzyskać dane z kopii zapasowych, albo zapłacić i uzyskać<br />
program umożliwiający odszyfrowanie zaszyfrowanych danych. W takim<br />
przypadku wykrycie i usunięcie trojana przez oprogramowanie antywirusowe<br />
powoduje tylko usunięcie infekcji a nie odzyskanie danych. Zazwyczaj<br />
do szyfrowania danych używany jest silny algorytm z losowo generowanym<br />
kluczem. Z tego powodu analiza kodu trojana nie zapewnia możliwości odszyfrowania<br />
danych czy opracowania uniwersalnej metody usuwania infekcji<br />
wraz z odszyfrowaniem zaszyfrowanych plików.<br />
Oczywiście istnieje wiele wariantów ransomware. Ciekawym przypadkiem<br />
jest Locky, którego proces szyfrowania można zatrzymać. Locky wymienia klucze<br />
szyfrujące w pamięci ze swoim centrum dowodzenia (C&C). Zakłócenie<br />
procesu wymiany – np. poprzez zerwanie połączenia z siecią – powoduje, że<br />
proces szyfrowania zostanie zatrzymany. Locky jest interesujący z jeszcze jednego<br />
powodu: jest on łączony z autorami złośliwego oprogramowania z rodziny<br />
DRIDEX (poprzednikiem była rodzina CRIDEX), które stara się kraść informacje<br />
potrzebne do uwierzytelnienia z systemów bankowości elektronicznej.<br />
Innym interesującym przypadkiem jest Petya. W przeciwieństwie do typowych<br />
przedstawicieli tego typu złośliwego oprogramowania, Petya nie szyfruje<br />
tylko plików, lecz całe dyski. Co więcej, nie zostawia systemu w stanie do<br />
dalszego użytku: po zaszyfrowaniu dysku systemowego i kolejnym restarcie<br />
lub uruchomieniu systemu Petya wyświetla fałszywy komunikat programu<br />
chkdsk o uszkodzonym wolumenie. Następnie wyświetla ekran z instrukcjami<br />
co należy zrobić, aby odzyskać dostęp do systemu. Petya instaluje się w tablicy<br />
partycji dysków ignorując sposób startu systemu operacyjnego w przypadku<br />
obecności UEFI. To może powodować zamazanie części informacji na dysku<br />
i uszkodzenie systemu niezależnie od procesu szyfrowania. Co więcej, pierwsza<br />
faza szyfrowania opiera się na prostej i odwracalnej operacji XOR. Autorzy<br />
zapewne zaimplementowali to w ten sposób, aby skrócić czas zaszyfrowania<br />
dysków i odcięcia użytkownika od jego systemu. Tym samym w teorii skrócili<br />
czas oczekiwania na wpłaty od szantażowanych użytkowników.<br />
166 Aleksander P. Czarnowski, AVET